eDiscovery in der internen Untersuchung: Aufbau, Anbieter und KI aus Strafverteidigerperspektive
Kurzantwort. eDiscovery ist die strukturierte Verarbeitung elektronischer Beweise nach dem Electronic Discovery Reference Model (EDRM). In deutschen internen Untersuchungen entscheiden weniger die Tools über den Erfolg als die rechtliche Architektur dahinter: Hosting in der EU, dokumentierte DSFA, gestufter Review nach BAG-Verhältnismäßigkeitsprüfung, menschliche Letztkontrolle bei KI-Auswertungen. Wer die Plattform vor der Architektur wählt, liefert dem Strafverteidiger des Mitarbeiters Munition gegen die spätere Beweisverwertbarkeit — und schwächt gleichzeitig die eigene CMS-Defence im Bußgeldverfahren.
eDiscovery wird in deutschen Inhouse-Abteilungen oft als rein technische Frage behandelt: Welche Plattform, welcher Vendor, welche Lizenz? Das verkennt den Kern. eDiscovery ist eine Verteidigungs- und Beweissicherungs-Architektur. Die Plattform bestimmt nicht, ob ein Sachverhalt aufgeklärt wird — das entscheidet die rechtliche Konstruktion. Die Plattform bestimmt nur, mit welchen Werkzeugen die Aufklärung erfolgt und wie verwertbar das Ergebnis später ist.
Die These dieses Beitrags: Auf dem deutschen Markt entscheidet die Plattform-Wahl 2026 weniger über die Aufklärungs-Geschwindigkeit als über die Beweisverwertbarkeit — und damit über die Höhe des Verbandsbußgeldes nach § 30 OWiG. Eine sauber durchdachte Microsoft-Purview-Architektur ist im typischen mittelständischen Compliance-Mandat verteidigungstauglicher als ein teurer RelativityOne-Aufbau, der die DSFA übersieht.
Aus Strafverteidigerperspektive ist die häufigste Beobachtung: Mandanten haben Geld in eine Plattform investiert, ohne vorher die Frage zu beantworten, wo die Daten gehosted werden, wer in welcher Weise in den Datenfluss involviert ist und ob bei einer späteren Behördenkonfrontation die Privilegien-Architektur hält. Die folgenden Seiten ordnen die Phasen, vergleichen die für den deutschen Markt relevanten Anbieter und benennen die KI-Themen, die seit 2025 in jeder Cluster-Diskussion auftauchen.
eDiscovery als Begriff: woher er kommt und was er für deutsche Untersuchungen bedeutet
eDiscovery ist ein Begriff aus dem US-Civil-Litigation-System. Er bezeichnet das Verfahren, mit dem Parteien im Zivilprozess elektronisch gespeicherte Informationen — E-Mails, Office-Dokumente, Chats, Datenbankauszüge — auffinden, sichern, verarbeiten und an die Gegenseite oder ein Gericht produzieren. Im US-System ist das Pflichtteil jeder relevanten Litigation; daraus ist über zwei Jahrzehnte eine eigene Technologie- und Beratungsbranche gewachsen.
In Deutschland gibt es keine vergleichbare zivilprozessuale Discovery-Pflicht. Was aber existiert und in den letzten Jahren stark gewachsen ist, sind drei Anwendungsfälle, in denen die Werkzeuge der eDiscovery zum Einsatz kommen: interne Untersuchungen, Schiedsverfahren mit angelsächsischer Prägung und Strafverfahren mit großem elektronischen Datenbestand. Für Inhouse Counsel ist der erste Fall der wichtigste. Die Konzern-Compliance-Investigation mit hunderten Custodians, Millionen Dokumenten und enger Frist bis zur Behördenmeldung lässt sich ohne strukturierte Verarbeitung nicht führen.
Die Datenmengen typischer interner Untersuchungen reichen von wenigen Gigabyte bei einzelnen Custodians bis zu mehreren Terabyte bei konzernweiten Kartellverfahren. Die Bearbeitungsdauer reicht von zwei Wochen bei klar abgegrenzten Sachverhalten bis zu zwölf Monaten bei mehrjährigen Korruptionsverdachten mit internationalen Verzweigungen.
Das EDRM-Modell: neun Phasen vom Information Governance bis zur Presentation
Der de-facto-Standard für die Strukturierung jeder eDiscovery ist das Electronic Discovery Reference Model. Es umfasst neun Phasen, von denen für die deutsche interne Untersuchung vier zentral sind. Die vollständige Übersicht hilft, die eigene Architektur zu verorten.
| EDRM-Phase | Aktivität | Werkzeuge | Verantwortlich |
|---|---|---|---|
| 1. Information Governance | Datenklassifizierung, Retention Policies | DLP-Tools, Microsoft Purview | IT, Compliance |
| 2. Identification | Custodian-Identifikation, Datenquellen-Mapping | Custodian Map, Interview | Untersuchungsteam |
| 3. Preservation | Legal Hold, Löschstopp | Auto-Hold-Funktionen in M365/Google Vault | IT, Externe Verteidiger |
| 4. Collection | Forensische Datensicherung, Imaging | Cellebrite, Magnet Forensics, EnCase | IT-Forensik |
| 5. Processing | Indexierung, Deduplizierung, OCR | Nuix Workstation, Relativity Processing | Forensik-Dienstleister |
| 6. Review | Sichtung, Tagging, Privilegien-Markierung | Relativity, Reveal, Everlaw, Microsoft Purview | Untersuchungsteam, externe Anwälte |
| 7. Analysis | Pattern-Erkennung, Communication-Mapping | TAR, Active Learning, Concept Clustering | Externe Anwälte |
| 8. Production | Export für Behörden / Dritte | Native Format, Bates-Stamping | Externe Anwälte |
| 9. Presentation | Aufbereitung für Verfahren | Trial Director, Visualization | Strafverteidiger |
Die Phasen 3 bis 6 sind die Kernphasen jeder Untersuchung. In ihnen entscheidet sich, ob die Erkenntnisse später vor Gericht halten — und ob das Unternehmen einen DSGVO-Schaden produziert hat.
Phase Preservation: Legal Hold und das Beweisvereitelungs-Risiko
Der Legal Hold ist die schriftliche Anweisung an alle Custodians und IT-Verantwortlichen, relevante Daten nicht zu löschen. Er ist die erste rechtsförmliche Handlung jeder eDiscovery — und gleichzeitig der häufigste Schwachpunkt deutscher Untersuchungen.
Drei Fehler treten regelmäßig auf. Der erste: zu spät. Wenn der Hold erst eine Woche nach Eingang des Hinweises ausgesprochen wird, hatten die Beschuldigten Zeit, E-Mails zu löschen. Auch ohne Vorsatz ihrerseits: Auto-Archivierungs-Regeln, Postfach-Größenbegrenzungen, automatische Bereinigung von Chats — all das produziert Lücken, die später zum Problem werden können. Der zweite: zu eng. Wenn nur drei Custodians vom Hold erfasst werden, aber sich später herausstellt, dass auch Sachbearbeiter und Assistenzkräfte involviert waren, sind die Daten dieser Personen oft schon weg. Der dritte: zu informell. Eine mündliche Anweisung ist kein Hold — und im Streitfall nicht beweisbar.
Beweisvereitelungs-Risiken: was wirklich droht. Im deutschen Recht gibt es — anders als im US-System mit den Federal Rules of Civil Procedure — keine kodifizierte „Spoliation“-Sanktion mit eigenständiger Bußgeldfunktion. Die Risiken sind aber dennoch erheblich und liegen auf drei Schienen.
Im Zivilprozess greift § 444 ZPO bei vorsätzlicher Urkundenbeseitigung; der Rechtsgedanke wird auf andere Beweismittelvernichtungen analog angewandt. Folge ist nicht der automatische Prozessverlust, aber eine zu Lasten der vereitelnden Partei wirkende Beweiswürdigung nach § 286 ZPO. Im Bußgeldverfahren gegen das Unternehmen wirkt sich eine schlampige Hold-Architektur als Schwächung der CMS-Defence nach BGH 09.05.2017 – 1 StR 265/16 aus: Wenn das Unternehmen die Aufklärung selbst nicht ordentlich strukturiert hat, fällt das Mildernde-Faktor-Argument weg. Im Strafverfahren gegen einzelne Mitarbeiter kann die Beseitigung von Beweismitteln durch das Unternehmen oder seine Organe je nach Konstellation Strafvereitelung nach § 258 StGB oder Urkundenunterdrückung nach § 274 StGB sein.
Die operativ tragfähigen Hold-Architekturen kombinieren drei Elemente: schriftliche Hold-Notice an alle potenziellen Custodians mit klarer Definition des betroffenen Zeitraums und der relevanten Themen; gleichzeitige Aktivierung der Auto-Hold-Funktion auf Postfach-Ebene durch IT (in Microsoft 365 über Litigation Hold oder eDiscovery Hold, in Google Workspace über Vault); Bestätigungs-Pflicht der Custodians, dass sie die Hold-Notice gelesen und verstanden haben, mit unterzeichneter Empfangsbestätigung.
Bei größeren Untersuchungen ist die regelmäßige Hold-Re-Notification — alle drei Monate, ergänzt durch ein Custodian-Tracking-Log — Pflicht. Wer einmal einen Hold ausgesprochen hat, dann aber Custodians ohne erneute Erinnerung verliert (Kündigung, Versetzung, Pensionierung), produziert Lücken, die später nur schwer zu schließen sind.
Phase Collection: Forensik nach ISO/IEC 27037 und Chain of Custody
Die forensische Sicherung ist mehr als ein Datentransfer. Sie muss zwei Anforderungen erfüllen: technische Vollständigkeit und juristische Beweiskraft.
Technisch heißt das: bit-genaue Imaging-Kopie der Datenquelle mit Hash-Werten (SHA-256-Standard), die jede spätere Manipulation feststellbar machen. Bei Smartphones erfolgt dies typischerweise mit Cellebrite UFED oder Magnet AXIOM, bei Festplatten mit FTK Imager oder EnCase, bei Cloud-Daten direkt über die nativen Export-Funktionen der Plattform mit anschließender Hash-Bildung.
Juristisch heißt das: lückenlose Chain-of-Custody-Dokumentation. Jeder Wechsel der Datenträger zwischen Verantwortlichen wird protokolliert, mit Datum, Uhrzeit, übergebender und übernehmender Person. Wer in der Kette einen Bruch hat, hat ein Beweismittel mit Verfallsdatum: Im Strafverfahren wird die Verteidigung diesen Bruch nutzen, um die Verwertbarkeit anzugreifen, mit nicht selten Erfolg.
Der einschlägige internationale Standard ist ISO/IEC 27037:2012 „Guidelines for identification, collection, acquisition and preservation of digital evidence“. Wichtig zu verstehen: ISO/IEC 27037 ist eine Leitlinie, keine Zertifizierungsnorm. Anders als ISO/IEC 27001 (Information Security Management) wird ISO/IEC 27037 nicht klassisch zertifiziert; vertrauenswürdige Forensik-Dienstleister belegen ihre Compliance über ISO 27001-Zertifizierung plus dokumentierte Anwendung der ISO 27037-Verfahren. Ergänzt wird sie durch ISO/IEC 27042:2015 (Analyse und Interpretation digitaler Beweise), ISO/IEC 27041:2015 (Eignung der Methoden) und ISO/IEC 27050 (eDiscovery-spezifisch, in vier Teilen).
Bei der Auswahl des Forensik-Dienstleisters ist diese kombinierte Compliance-Struktur das Mindestmaß. Die deutschen großen Forensik-Anbieter arbeiten standardmäßig nach diesen Verfahren und sind ISO 27001-zertifiziert. Bei kleineren Mandaten kann auch ein spezialisierter IT-Forensiker ausreichen, sofern er die Standards belegen kann und die Chain-of-Custody-Dokumentation nachweist. Bei der Wahl des richtigen Forensik-Anbieters sollte man auch innovative Player wie Eltemate im Blick haben, die als Teil der Global Legal Tech Alliance verstärkt auf KI-gestützte Datenauswertung setzen.
Ab August 2026 wird das Thema durch die EU-eEvidence-Verordnung (VO 2023/1543) zusätzlich verschärft: Sie regelt die grenzüberschreitende Anforderung elektronischer Beweismittel zwischen EU-Mitgliedstaaten und macht die ISO/IEC 27037-Konformität zur faktischen Voraussetzung für die Verwertbarkeit gewonnener Daten in anderen Mitgliedstaaten.
Phase Review: die Plattform-Wahl für den deutschen Markt
In der Review-Phase werden die gesicherten Daten gesichtet, getaggt und für die spätere Auswertung aufbereitet. Hier ist die Plattform-Wahl entscheidend. Sieben Plattformen sind auf dem deutschen Markt für interne Untersuchungen relevant — der Stand bezieht sich auf das erste Quartal 2026; bei Vendor-Konsolidierungen ist die Aktualität vor Vertragsabschluss zu verifizieren.
| Plattform | Modell | Stärke | Schwäche | EU-Hosting |
|---|---|---|---|---|
| RelativityOne | Cloud-SaaS | Marktführer; integrierte Analytics; KLDiscovery als Reseller mit deutschem Hosting | Hoher Preis; lange Onboarding-Zeit | EU-Region verfügbar |
| Nuix Discover | Hybrid (On-Prem + Cloud) | Schnelle Verarbeitung großer Volumina; starke Forensik-Integration | Steile Lernkurve; lizenzlastig | EU-Hosting möglich, abhängig vom Reseller |
| Reveal/Brainspace | Cloud-SaaS | Stark in KI/Pattern-Recognition | Vendor-Konsolidierung 2024/25 — laufende Beobachtung | EU-Hosting verfügbar |
| Everlaw | Cloud-SaaS | Moderne Oberfläche; Collaboration-Funktionen | Starke US-Prägung; EU-Hosting eingeschränkt | EU-Region verfügbar, kleinere Footprint |
| Logikcull | Cloud-SaaS | Self-Service; transparente Preise | Begrenzte Skalierung über mittlere Volumen; vor Vertrag EU-Hosting-Status verifizieren | Bisher US-fokussiert |
| Microsoft Purview eDiscovery (Premium) | In-Tenant (M365) | Daten verlassen die M365-Umgebung nicht; Deduplizierung an der Quelle | Nur M365-Daten; klassische eDiscovery-UIs zum 31.08.2025 eingestellt | EU-Datenresidenz konfigurierbar |
| OpenText Axcelerate (vormals Recommind) | Hybrid | Lange europäische Präsenz; vertraut bei Konzern-IT | Veraltete Oberfläche im Vergleich | EU-Hosting Standard |
Die Auswahl folgt nicht der Frage, welche Plattform „besser“ ist, sondern welcher Anwendungsfall vorliegt. Drei Konstellationen.
Erstens: kleine bis mittlere Untersuchung mit vollständig in Microsoft 365 angesiedelten Daten. In diesem Fall ist eDiscovery (Premium) in Microsoft Purview oft die wirtschaftlichste Lösung. Die Daten verlassen die bereits lizenzierte M365-Umgebung nicht, das Hosting ist konfigurierbar in der EU-Region, die Lizenz ist häufig schon vorhanden in Microsoft-365-E5-Tenants. Wichtig: Die klassischen eDiscovery-Erfahrungen (Standard und alte Premium-Variante) wurden zum 31. August 2025 eingestellt. Es ist nur noch die neue eDiscovery (Premium)-Lösung im Purview-Portal verfügbar.
Zweitens: mittlere bis große Untersuchung mit gemischten Datenquellen — M365-Daten, Filesystem, Datenbankauszüge, Smartphone-Forensik. Hier sind RelativityOne mit deutschem Hosting via KLDiscovery oder Nuix Discover die Standardlösungen. Die Investition ist substanziell, die Verarbeitungs- und Review-Geschwindigkeit aber so deutlich höher, dass sich die Kosten typischerweise rentieren.
Drittens: KI-fokussierte Untersuchung mit Mustererkennungs-Schwerpunkt. Reveal mit Brainspace-Integration hat hier traditionell einen Vorsprung. Die Vendor-Konsolidierung des deutschen Markts der letzten zwei Jahre macht die Standortwahl aber prüfenswert; der Reseller- und Support-Status sollte vor Vertragsabschluss aktuell verifiziert werden.
KI in der eDiscovery: TAR, Continuous Active Learning und Generative AI
Künstliche Intelligenz ist seit etwa 2010 in eDiscovery-Plattformen verbaut, aber ihre Funktion hat sich in den letzten drei Jahren grundlegend geändert. Drei Generationen sind zu unterscheiden.
TAR 1.0, klassisches Predictive Coding. Der Anwender markiert manuell ein Trainingsset von einigen Hundert Dokumenten als „relevant“ oder „nicht relevant“. Die Software lernt aus diesem Trainingsset und schlägt für die übrigen Dokumente eine Klassifikation vor. Diese Variante ist arbeitsintensiv im Training und wenig flexibel bei sich entwickelnden Verdachtsmomenten. Ihre Belastbarkeit hängt von der Qualität des Trainingssets ab.
TAR 2.0, Continuous Active Learning. Der Anwender beginnt direkt mit der manuellen Sichtung. Die Software lernt im Hintergrund mit jedem getaggten Dokument und priorisiert die nächsten Dokumente entsprechend nach prognostizierter Relevanz. Studien dokumentieren typische Volumen-Reduktionen von 40 bis 60 Prozent gegenüber linearer Sichtung. CAL ist heute der Standard.
GenAI-Review, ab 2023 in mehreren Plattformen integriert. Generative Sprachmodelle werden eingesetzt, um Dokumente automatisch zu kategorisieren, zusammenzufassen, Privilegien-Verdacht zu kennzeichnen oder konkrete Fragestellungen zu beantworten. Die Produkte heißen je nach Vendor unterschiedlich (Reveal AI, Relativity aiR, Everlaw EverlawAI Assistant). Sie versprechen Geschwindigkeitssprünge um den Faktor zehn — aber sie produzieren auch Risiken, die in Deutschland besonders aufmerksam zu prüfen sind.
Die offene Frage: Akzeptieren deutsche Gerichte GenAI-basierte Klassifikation? Höchstrichterliche Rechtsprechung dazu existiert bisher nicht. Drei Linien sind erkennbar.
Im US-System ist die Linie seit Da Silva Moore v. Publicis Groupe (S.D.N.Y. 2012) klar: Predictive Coding ist gerichtlich akzeptiert, sofern die Methodik dokumentiert und nachvollziehbar ist. GenAI ist neuer; erste US-Gerichtsentscheidungen (z. B. ähnlich strukturiert in Pyrrho Investments v. MWB Property, EWHC 2016 in UK) bestätigen die Linie für vergleichbar transparente Methoden.
In Deutschland ist die einschlägige Rechtsprechung zur freien Beweiswürdigung nach § 286 ZPO offen für KI-gestützte Aufbereitung — aber die Verteidigung kann die Methodik kontrollieren. Wer GenAI-Klassifikation einsetzt, muss bei kritischen Klassifikationen (Privilege, Hot Documents) menschliche Letztkontrolle dokumentieren können.
Im Strafverfahren wird die Linie strenger gesehen werden, wenn KI-Klassifikationen in der Beweisgewinnung eine Rolle spielen. § 261 StPO (freie Beweiswürdigung) und § 244 StPO (Aufklärungspflicht des Gerichts) verlangen die Nachvollziehbarkeit der Beweisgewinnung. Black-Box-Modelle sind hier riskant.
Drei Risiken sind aus Verteidigungs- und Compliance-Sicht zentral. Erstens: Erklärbarkeit. Wenn ein GenAI-System ein Dokument als „nicht privilegiert“ klassifiziert und der Strafverteidiger später nachweist, dass es sehr wohl der Verteidiger-Mandantenbeziehung unterfällt, wird die Frage entscheidend, mit welchem Modell, welchem Prompt und welchen Trainingsdaten die Klassifikation erfolgte. Black-Box-Modelle sind für deutsche Gerichte weiterhin schwer zu vermitteln. Zweitens: Halluzinationen. Generative Modelle erfinden Fakten. Bei der Privilegien-Prüfung oder der Zusammenfassung von Schlüsseldokumenten ist das katastrophal. Drittens: Datenschutz. Wenn das Modell auf US-Servern läuft und mit den Untersuchungsdaten gefüttert wird, ist das ein Auslandstransfer im Sinne der DSGVO. Ohne explizit dokumentierte Garantien (DPF-Adäquanz, Zusatz-Schutzmaßnahmen nach Schrems II) ist dieser Transfer angreifbar.
Die operative Konsequenz: KI-Tools können in der deutschen Praxis sinnvoll genutzt werden, aber unter drei Bedingungen. Menschliche Letztkontrolle bei jedem als „Hot“ oder „Privileged“ markierten Dokument. EU-Hosting des Modells, idealerweise in einer dedizierten Tenant-Instanz. Schriftliche Dokumentation der Modell-Wahl und der Konfiguration in der DSFA. Wer diese drei Bedingungen erfüllt, kann auch deutsche Gerichte überzeugen. Wer eine davon weglässt, schafft Beweisrisiken.
DSGVO-Konformität: das Cloud-Problem nach Schrems II
Die meisten relevanten eDiscovery-Plattformen werden von US-Anbietern entwickelt und vermarktet. Auch wenn EU-Hosting vertraglich zugesichert wird, bleibt das Risiko des US Cloud Act: US-Behörden können von US-Anbietern Datenherausgabe auch dann verlangen, wenn die Daten physisch in der EU liegen. Der EuGH hat in C-311/18 (Schrems II) klargestellt, dass dieses Risiko eine angemessene Datenschutzgarantie verhindert.
Die seit Juli 2023 bestehende EU-US Data Privacy Framework-Adäquanzentscheidung schafft hier eine neue Grundlage. Anbieter, die sich nach DPF zertifizieren, dürfen Daten in die USA übermitteln, ohne dass zusätzliche Schutzmaßnahmen erforderlich wären. Dieser Status ist aber, wie die Geschichte zeigt, fragil; bereits zwei Vorgängerregelungen (Safe Harbor, Privacy Shield) wurden vom EuGH gekippt. Eine erneute Schrems-Klage ist anhängig.
Die operative Empfehlung lautet: EU-Hosting hat Vorrang. Wo es technisch nicht verfügbar ist, gehören die Standardvertragsklauseln nach Art. 46 DSGVO und konkrete Zusatzmaßnahmen (Verschlüsselung in Transit und at Rest mit Schlüsselverwaltung in der EU) ins Vertragsdesign. Eine reine DPF-Zertifizierung ohne diese Zusatzschritte ist eine Wette auf den Fortbestand der Adäquanz — und nicht jede Untersuchung ist für eine solche Wette geeignet.
Zusätzlich: Bei jeder eDiscovery, die personenbezogene Daten in größerem Umfang verarbeitet, ist die DSFA nach Art. 35 DSGVO Pflicht. Die Plattformwahl ist Bestandteil der DSFA und muss dort begründet werden. Eine fehlende oder unvollständige DSFA ist eigenständiger Bußgeldtatbestand nach Art. 83 Abs. 4 lit. a DSGVO.
Inhouse, Outsourcing oder Hybrid
Die Frage, ob eine eDiscovery in-house mit eigener Lizenz oder vollständig über externe Forensik-Dienstleister abgewickelt werden soll, hängt von drei Faktoren ab: Untersuchungs-Frequenz, Datenvolumen und vorhandene Expertise.
Bei geringer Frequenz (eine bis zwei Untersuchungen pro Jahr) und mittlerem Volumen ist vollständiges Outsourcing typischerweise wirtschaftlich. Forensik-Dienstleister haben die Lizenzen, das Personal und die Erfahrung, eine Untersuchung in vier Wochen aufzusetzen, die in-house in zwölf Wochen scheitern würde. Die Marktbeobachtung der letzten zwei Jahre zeigt eine grobe Bandbreite für mittlere Mandate (5-15 Custodians, 100-500 GB Datenvolumen) zwischen 50.000 und 250.000 EUR Gesamtkosten — die konkrete Höhe variiert stark mit der Komplexität der Datenquellen, der erforderlichen Forensik-Tiefe und der Review-Dauer.
Bei hoher Frequenz (drei oder mehr Untersuchungen pro Jahr) oder strukturell hohem Datenvolumen (Konzern mit Compliance-Funktion in zehn Ländern) wird der Hybrid-Ansatz attraktiv: eigene Microsoft-Purview-eDiscovery-Lizenz für den Hold und die Erst-Sicherung in M365, externe Forensik-Dienstleister für die Übergabe und Verarbeitung gemischter Datenquellen, eigenes Inhouse-Review-Team für die juristische Sichtung. Die Kosten sind bei drei Untersuchungen pro Jahr typischerweise um 30 bis 40 Prozent niedriger als bei vollem Outsourcing.
Vollständiges Inhouse mit eigener Relativity- oder Nuix-Lizenz lohnt nur bei sehr großen Konzernen mit eigener forensischer Abteilung. Die Lizenzkosten von einigen Hunderttausend Euro pro Jahr und die Personalkosten für ein qualifiziertes Team rechtfertigen sich nur ab fünf bis zehn Großuntersuchungen pro Jahr.
Inhouse-Counsel-Checkliste: zwölf Kriterien für die Anbieter-Auswahl
Vor jedem Vertragsabschluss mit einem eDiscovery-Anbieter sollten zwölf Punkte abgearbeitet werden. Ein Anbieter, der bei mehr als zwei davon „Nein“ sagt, ist kein passender Partner für eine deutsche Untersuchung.
| # | Kriterium | Mindeststandard |
|---|---|---|
| 1 | EU-Datenresidenz | Hosting in EU-Region, schriftlich zugesichert |
| 2 | DPF- oder SCC-Zertifizierung | DPF-Listung im US Department of Commerce + SCCs als Backup |
| 3 | DSFA-Beitrag | Anbieter liefert vorgefertigte DSFA-Bausteine |
| 4 | SOC 2 Type II Bericht | aktuell, nicht älter als 12 Monate |
| 5 | ISO 27001 Zertifizierung + ISO 27037 Compliance | aktuell |
| 6 | KI-Funktionalität | TAR 2.0 als Standard, GenAI optional, mit Audit-Logs |
| 7 | Privilegien-Tagging | dezidierte Tags für „Verteidigerunterlagen / § 148 StPO“ |
| 8 | Bates-Stamping | Pflicht für Behördenproduktion |
| 9 | Volumen-Pricing | transparente Staffel, keine Pro-User-Verträge bei einmaligen Untersuchungen |
| 10 | Onboarding-Zeit | maximal 5 Werktage bis zum aktiven Hold |
| 11 | Support in deutscher Sprache | mindestens Tier 2 |
| 12 | Cloud-Act-Klausel | Anbieter verpflichtet sich, jede US-Behördenanfrage anzufechten |
Die großen Namen im Markt erfüllen die Kriterien für deutsche Untersuchungen typischerweise vollständig. Bei kleineren oder neueren Anbietern ist die Liste vor jedem Mandat individuell zu prüfen.
Was bei der Behördenkonfrontation aus der eDiscovery wird
Aus Strafverteidigerperspektive zeigen sich am Ende einer Untersuchung typische Fehler-Muster, die bei der Plattform-Wahl angelegt waren. Der Hold war lückenhaft, weshalb die Verteidigung das Verfehlen der Aufklärungsreichweite reklamieren kann und die CMS-Defence schwächer wird. Die Chain of Custody hat Brüche, weshalb die Verteidigung einzelne Beweismittel angreifen kann. Die KI-Klassifikation lief auf einer US-Plattform ohne dokumentierte Konfiguration, weshalb die Privilegien-Beurteilung des Untersuchungsteams als unzureichend dokumentiert in Frage gestellt wird. Die DSFA fehlte oder bezog sich auf eine andere Plattform-Konfiguration, weshalb die Aufsichtsbehörde ein eigenes Bußgeldverfahren einleitet — gegen das Unternehmen, nicht gegen den ursprünglich Beschuldigten.
In all diesen Konstellationen schadet die schlechte Plattform-Architektur dem Unternehmen mehr als sie ihm in der Aufklärungsphase genutzt hat. Die Plattform-Wahl ist deshalb kein IT-Beschaffungsthema. Sie ist eine strafverteidigungsrechtliche Architekturentscheidung, die auf Augenhöhe mit dem externen Strafverteidiger abgestimmt werden sollte — vor dem Mandatsabschluss, nicht danach.
Häufig gestellte Fragen
Wie baue ich eine eDiscovery für eine interne Untersuchung auf?
In neun Phasen nach dem Electronic Discovery Reference Model. Zentral sind: Information Governance vorab, Identification der Custodians und Datenquellen, Preservation durch Legal Hold, Collection per forensischer Imaging-Kopie, Processing durch Indexierung und Deduplizierung, Review mit gestufter Sichtung, Analysis durch TAR und Mustererkennung, Production für Behörden, Presentation im Verfahren. Die ersten drei Phasen entscheiden über die Belastbarkeit der Untersuchung.
Welche eDiscovery-Anbieter gibt es auf dem deutschen Markt?
Sieben Plattformen sind relevant: RelativityOne (mit KLDiscovery als deutschem Reseller), Nuix Discover, Reveal/Brainspace, Everlaw, Logikcull, Microsoft Purview eDiscovery (Premium) und OpenText Axcelerate. Die Wahl hängt vom Datenvolumen, der Datenherkunft und der Frequenz künftiger Untersuchungen ab. Microsoft Purview ist für reine M365-Daten häufig die wirtschaftlichste Lösung, RelativityOne und Nuix sind die Standardlösungen bei gemischten Datenquellen. Bei Vendor-Konsolidierungen ist der Anbieter-Status vor Vertragsabschluss zu verifizieren.
Was ist der Unterschied zwischen Relativity und Nuix?
Relativity ist die marktführende Review-Plattform mit starker Analytics-Suite und großer Modul-Bibliothek. Nuix ist stärker in der Datenverarbeitung großer Volumina mit hoher Geschwindigkeit, vor allem in der Forensik-Phase. In der Praxis werden beide oft kombiniert: Nuix für Processing, Relativity für Review. Für die Auswahl entscheidend sind weniger die Kernfunktionen als das EU-Hosting, die KI-Funktionalität und der lokale Support.
Wie funktioniert KI in der eDiscovery?
Drei Generationen sind zu unterscheiden. TAR 1.0 (klassisches Predictive Coding) lernt aus einem manuell kodierten Trainingsset. TAR 2.0 (Continuous Active Learning) lernt im Hintergrund mit jedem getaggten Dokument und priorisiert die nächsten — heute der Standard. Generative AI-Tools (seit 2023) klassifizieren, fassen zusammen und kennzeichnen Privilegien-Verdacht. Sie sind leistungsfähig, aber ihre Erklärbarkeit, Halluzinationsrisiken und Datenschutz-Aspekte erfordern menschliche Letztkontrolle. Höchstrichterliche deutsche Rechtsprechung zu GenAI-Klassifikationen liegt bisher nicht vor.
Ist eDiscovery DSGVO-konform — und wie sichere ich Datentransfers in die USA ab?
eDiscovery ist DSGVO-konform machbar, wenn drei Bedingungen erfüllt sind: EU-Hosting der Daten, dokumentierte DSFA nach Art. 35 DSGVO und ein gestufter Review-Prozess (Stichwortsuche vor Volleinsicht). Bei US-Anbietern ist die EU-US Data Privacy Framework-Zertifizierung der wichtigste Anker, ergänzt durch Standardvertragsklauseln und technische Zusatzmaßnahmen wie EU-basierte Schlüsselverwaltung für Verschlüsselung.
Was ändert sich durch die Einstellung der klassischen Microsoft-eDiscovery zum 31. August 2025?
Microsoft hat die klassische Inhaltssuche, klassische eDiscovery (Standard) und klassische eDiscovery (Premium) zum 31. August 2025 eingestellt. Es gibt nur noch die neue eDiscovery (Premium)-Lösung im Microsoft Purview-Portal. Unternehmen, die noch auf den klassischen UIs aufgesetzt waren, mussten migrieren. Inhaltlich ist die neue Lösung leistungsfähiger, der Workflow ist aber zu lernen.
Brauche ich eine eigene IT-Mannschaft oder reicht ein externer Dienstleister?
Bei ein bis zwei Untersuchungen pro Jahr ist Outsourcing typischerweise wirtschaftlich. Bei drei oder mehr Untersuchungen pro Jahr ist ein Hybrid-Modell mit eigener Microsoft-Purview-Lizenz für die ersten Phasen und externem Forensik-Dienstleister für komplexe Datenquellen oft optimal. Vollständiges Inhouse mit eigener Relativity- oder Nuix-Lizenz lohnt erst bei sehr hoher Frequenz oder strukturell großen Datenvolumina.
Was kostet eine eDiscovery für eine mittlere Untersuchung?
Die Marktbeobachtung der letzten zwei Jahre zeigt für eine mittlere Untersuchung mit 5 bis 15 Custodians und einem Datenvolumen von 100 GB bis 500 GB Gesamtkosten zwischen 50.000 und 250.000 EUR — mit erheblicher Bandbreite je nach Komplexität, Forensik-Tiefe und Review-Dauer. Die Aufteilung: 30 bis 40 Prozent Plattformkosten, 40 bis 50 Prozent Personalkosten für die Sichtung, 10 bis 20 Prozent Forensik-Sicherung. Bei reiner Microsoft-365-Datenherkunft mit eigener Purview-Lizenz reduzieren sich die Plattformkosten signifikant.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar.
Weiterführend:
- Interne Untersuchungen im Unternehmen: Leitfaden für General Counsel
- E-Mail- und Diensthandy-Auswertung in der internen Untersuchung
- Digitale Ermittlungsmaßnahmen in der StPO: Der Referentenentwurf 2026
- Dawn-Raid-Notfallplan: Das Playbook für den Tag X
Externe Primärquellen:
- EuGH 16.07.2020 – C-311/18 (Schrems II): eur-lex.europa.eu
- EU-US Data Privacy Framework, Adäquanzbeschluss 10.07.2023: eur-lex.europa.eu
- DSGVO Art. 28, 35, 44 ff., 83: dsgvo-gesetz.de
- EDRM-Modell: edrm.net
- ISO/IEC 27037:2012: iso.org/standard/44381.html
- EU-eEvidence-Verordnung VO 2023/1543 (anwendbar ab 18.08.2026): eur-lex.europa.eu
- Microsoft Purview eDiscovery Dokumentation: learn.microsoft.com/de-de/purview
- BGH 09.05.2017 – 1 StR 265/16 (CMS-Defence): dejure.org
Grundlage: Rechtlicher Überblick
- Interne Untersuchungen im Unternehmen: Leitfaden für General Counsel
- Unternehmensstrafrecht: Haftung, Sanktionen & Verteidigung
- § 30 OWiG — Unternehmensgeldbuße
